Lodestar Finance dieksploitasi dalam serangan pinjaman mendadak

https://biz.crast.net/lodestar-finance-exploited-in-sudden-loan-onslaught/

Protokol peminjaman berbasis arbitrasi Lodestar Finance dieksploitasi dalam serangan flash loan pada 10 Desember. Menurut Lodestar, penyerang memanipulasi harga token plvGLP sebelum menggunakan token yang digelembungkan untuk meminjam semua likuiditas platform.

Di utas Twitter, LoadstarDijelaskan Alur serangan Penyerang memanipulasi nilai tukar kontrak plvGLP pertama menjadi 1,83 GLP per plvGLP, "eksploitasi yang tidak menguntungkan dengan sendirinya", kata perusahaan itu.

Kemudian, penyerang memasok agunan PLVGLP ke Lodestar dan meminjam semua likuiditas yang tersedia “sampai mekanisme Rasio Jaminan mencegah likuidasi penuh PLVGLP.”

Setelah peretasan, “beberapa pemegang PLVGLP juga memanfaatkan kesempatan ini dan menebus 1,83 GLP per PLVGLP.” Peretas dapat membakar lebih dari 3 juta GLP, “dana yang dicuri di Lodester – dikurangi GLP yang mereka bakar.”, catat platform DeFi.

Penyerang mendapat untung sekitar $ 5,8 juta. Loadstar mengatakan sekitar ₹2,8 juta (sekitar $2,4 juta) dari GLP dapat diperoleh kembali, yang harus digunakan untuk membayar deposan. Perusahaan sedang mencoba menegosiasikan hadiah bug dengan pengeksploitasinya:

Kerentanan utama dari serangan tersebut terletak di dalam GLPoracle dan cara pengoperasian harganya. Dalam sebuah analisis, tim audit Solidity Finance mengatakan insiden tersebut menyoroti bahwa "penggunaan oracle yang tahan terhadap kerusakan adalah bagian penting dari DeFi, terutama dalam protokol tempat pengguna meminjamkan aset."

Dalam sebuah pernyataan, agregator tata kelola PlutusDAO mengatakan bahwa “produk dan platformnya berfungsi persis seperti yang dimaksudkan selama acara berlangsung. Semua dana di Plutus sepenuhnya aman. Eksploitasi itu sepenuhnya merupakan hasil implementasi oracle Lodestar.” Juga berkata:

“Kami ingin mengambil tanggung jawab untuk mempromosikan protokol yang tidak diaudit. Meskipun eksploit sama sekali bukan kesalahan Plutus, kami menyadari fakta bahwa kami terlalu bersemangat untuk mempromosikan protokol yang mengintegrasikan plvGLP. Dengan plvGLP mendapatkan daya tarik yang signifikan, kami ingin menyoroti semua integrasi plvGLP ke komunitas kami untuk menekankan adopsi dan peluang bagi pengguna individu dan protokol melalui integrasi. Kami mohon maaf untuk ini.”

Serangan Lodestar mirip dengan eksploitasi Mango Markets pada 11 Oktober, ketika seorang penyerang mencuri lebih dari $100 juta dengan memanipulasi data oracle harga yang memungkinkan peretas untuk mengambil pinjaman cryptocurrency dengan jaminan rendah.